Trojan.Win32.DNSChanger

Trojan.Win32. DNS Changer (или Trojan: Win32 / Dnschanger (Microsoft Malware Protection Center)) - это определение нескольких AV-Labs, (бэкдор ) троян. Из-за McAfee Labs этот вариант вредоносного ПО был обнаружен 19 апреля 2009 г., хотя Центр защиты от вредоносных программ Microsoft знал об этой угрозе с 8 декабря 2006 г.

• 1 Поведение
• 2 Другие псевдонимы
  • 2.1 Другие варианты
  • 2.2 Другие модификации реестра связаны с созданием этих ключей
• 3 См. Также
• 4 Ссылки
• 5 Внешние ссылки

Троянские программы смены DNS попадают в системы другими вредоносными программами, такими как TDSS или Koobface. DNS-Changer-Trojan представляет собой вредоносный файл .exe, но не может распространяться самостоятельно. Поэтому он может выполнять несколько действий по выбору злоумышленника злоумышленника на скомпрометированном компьютере, например, изменение настроек сервера доменных имен (DNS) для перенаправления трафика на незапрошенные и потенциально незаконные и / или вредоносные домены..

Win32.DNSChanger используется синдикатами организованной преступности для поддержки Click-Fraud. В этот момент (неосведомленный) пользовательский просмотр активности тайно манипулируется (например, изменение пользователя, который нажимает на (для него, казалось бы) законную ссылку, чтобы затем перенаправить на другой предложенный сайт), так что злоумышленники может получать доход от оплаты за клик интернет-рекламы схем. В основном этот троян обычно представляет собой очень маленький файл (+/- 1,5 килобайта), который предназначен для изменения значения ключа реестра NameServer на настраиваемый IP-адрес или ссылку. Этот так называемый IP-адрес зашифрован в теле трояна. В результате этого изменения Устройство жертвы будет связываться с вновь назначенным DNS-сервером для разрешения имен различных веб-серверов, иногда случайным образом.

Системы TrendMicro описали следующее поведение Win32.DNSChanger.

• Направление неосведомленных пользователей на плохие сайты: эти сайты могут быть фишинговыми страницами, которые подделывают известные сайты, чтобы обманом заставить пользователей передать конфиденциальную информацию. Например, пользователь, который хочет посетить сайт iTunes, вместо этого по незнанию перенаправляется на мошеннический сайт.
• Замена рекламы на законных сайтах: посещение определенных сайтов может помочь пользователям с зараженными системами набор рекламы отличается от тех, чьи системы не заражены.
• Контроль и перенаправление сетевого трафика: пользователям зараженных систем может быть отказано в доступе для загрузки важных обновлений ОС и программного обеспечения от таких поставщиков, как Microsoft, и от соответствующих поставщиков средств безопасности.
• Распространение дополнительных вредоносных программ: зараженные системы более подвержены заражению другими вредоносными программами (например, заражением FAKEAV).

• Win32: KdCrypt [Cryp] (Avast )
• TR /Vundo.Gen (Avira )
• MemScan: Trojan.DNSChanger (Bitdefender Labs )
• Win.Trojan.DNSChanger (ClamAV )
• вариант Win32 / TrojanDownloader.Zlob (ESET )
• Trojan.Win32.Monder (Лаборатории Касперского )
• Troj / DNSCha (Sophos )
• Mal_Zlob (Trend Micro )
• MalwareScope.Trojan.DnsChange (Vba32 AntiVirus )

Другие варианты

• Trojan.Win32.DNSChanger.al

F-Secure получил образцы варианта, названного PayPal-2.5.200-MSWin32-x86-2005.exe. В этом случае атрибуция PayPal указывает на вероятность фишинга. Этот троян был запрограммирован на изменение имени DNS-сервера компьютера жертвы на IP-адрес 193.227.227.218.

Ключ реестра, на который влияет этот троян:

• HKLM \ SYSTEM \ ControlSet001 \ Services \ Tcpip \ Parameters \ Interfaces \ NameServer

Другие внесенные изменения реестра включают создание этих ключей

• HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ {random} DhcpNameServer = 85.255.xx.xxx, 85.255.xxx.xxx
• HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ {random} NameServer = 85.255.xxx.133,85.255.xxx.xxx
• HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ DhcpNameServer = 85.255.xxx.xxx, 85.255.xxx.xxx
• HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ NameServer = 85.255.xxx.xxx, 85.255.xxx.xxx

• DNSChanger
• Перехват DNS
• Дело Rove Digital
• Троян Zlob

• Как трояны DNS Changer направляют пользователей к угрозам от TrendMicro
• ФБР: Операция Ghost Click (F-Secure )
• «Крупнейший киберпреступник в истории» (Брайан Кребс @ krebsonsecurity.com)
• Анализ файла DNSChanger в VirusTotal